事故から学ぶ

県が医師19人分の個人情報流出

事故概要

業種 県 地方自治体
発生時期 2021/1
漏えい人数 19
事故概要

奈良県は、実在する医師になりすました人物に、県内の医療機関で働く医師19人分の個人情報を誤って流出したと発表しました。
これは10日、奈良県が記者会見を開いて明らかにしました。
それによりますと、先月中旬、栃木県にある自治医科大学の卒業生を名乗る男から県に「同窓会名簿を作るため、医師の連絡先を教えてほしい」という電話が入りました。対応した職員は、男が名乗った氏名と卒業年次が、県が保管する卒業名簿で確認できたため、把握している19人分の医師の氏名や現在の所属先などを伝えました。
ところが、8日、自治医科大学から全国的に似たような問い合わせが相次いでいるという注意喚起のメールが届いたため、県の職員が9日、男が名乗った人物に連絡をとったところ、問い合わせは、実在する医師になりすました人物からだったことが分かったということです。
奈良県医師・看護師確保対策室の園田正行室長は「ご迷惑とご心配をおかけしたことを深くおわび申し上げたい。今後は、個人情報についての問い合わせは原則、回答しないことを徹底し、再発防止に努めたい」と話していました。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-20(第21条)従業者の監督 意識付け教育 ルールの徹底
(誤開示防止)

チェックリストにある要求ルール:

採用の際に守秘義務や罰則規定があることを知らせるなど、従業者に秘密を守らせていますか?
社内にある個人情報を盗み出したり、売買したりしないように従業者に教育をしていますか?
社内にある個人情報を、直接業務に関係ない従業者が閲覧できないようにしていますか?また閲覧を禁止する教育をしていますか?
社内にある個人情報を無断で持ち出したり、コピーしないように、しっかりと指導していますか?
情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?
外部からの個人情報に関する問い合わせに回答しないルールを徹底していますか。
個人情報は取得時にあらかじめ同意を得た利用目的の範囲で使用することを守っていますか。
個人情報に対する従業者の感度を高める教育をしていますか?感度を高めることがリスクに対する気づきを生み、事故を減らすことができます。
個人情報を含む書類を個人情報の所有者(本人)に渡す際、本人確認をし、その上で本人が要求しているもの、あるいは本人に渡すべき書類であることを確認していますか?
同姓同名の人に誤って送信送付したり、あるいは情報を取り違えてPCに入力したり、記載したりしていませんか?
会議資料、セミナ資料など、配布や送付する資料に個人情報が含まれていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

外部から個人情報に関する問い合わせがあった場合は、回答しないのが大原則である。警察を名乗ろうが裁判所を名乗ろうが、公開しないことを守らなければならない。

具体例:

本件は職員への個人情報保護認識を高める教育効果がでていないことを示している。
単なる注意喚起教育では足りていない。行動変容を促す教育を実施していくことが必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。